Одним из обходных путей является мониторинг журнала событий безопасности на компьютере с Windows Server.
Предполагается, что контроллер домена Windows Server 2003/2008 настроен на успешное ведение журнала «Аудит событий входа в систему».
using System.Diagnostics;
...
myLog = new EventLog("Security");
myLog.EntryWritten += new EntryWrittenEventHandler(OnEntryWritten);
...
/// <summary>
/// A new event is logged in the security event log.
/// </summary>
/// <param name="source"></param>
/// <param name="e"></param>
private void OnEntryWritten(object source, EntryWrittenEventArgs e)
{
LogNewEntry(e.Entry);
}
Windows server 2003
Вы можете идентифицировать вход с идентификаторами событий 528 и 540.
Экземпляр EventLogEntry содержит свойство UserName, которое содержит Domain \ UserName.
Экземпляр EventLogEntry также содержит свойство ReplacementStrings.
Чтобы найти IP-адрес, вам нужно взглянуть на свойство строкового массива ReplacementStrings [13].
Windows server 2008
Вы можете идентифицировать вход с помощью события с кодом 4624.
Чтобы найти имя пользователя, вам нужно взглянуть на свойство строкового массива ReplacementStrings [5].
Чтобы найти домен, вам нужно взглянуть на свойство строкового массива ReplacementStrings [6].
Чтобы найти IP-адрес, вам нужно взглянуть на свойство строкового массива ReplacementStrings [18].